安天获公安部重点实验室项目

时间： 2017年10月27日 来源：安天

近日，信息网络安全公安部重点实验室（公安部第三研究所）对安天“DDoS追踪溯源分析技术研究”项目给予了高度肯定，并与安天签署了信息网络公安部重点实验室开放课题合同书。该项目是由公安部重点实验室开放基金资助的A类研究项目，主要对DDoS溯源追踪技术进行分析研究，其中涉及多源大数据网络威胁检测、威胁分析、威胁监测与溯源等研究方向。

该项目使用了安天研发的“安天Botmon DDoS威胁情报”溯源分析技术产品，该产品在僵尸网络识别、追踪、监测以及威胁情报综合预警和溯源过程中拥有多项自主知识产权的国家技术专利。其基于分布式云服务器、大数据、机器学习技术，可对全球DDoS僵尸网络进行自动化监测，及时获取精准的攻击威胁情报，为客户提供及时准确的威胁预警，同时还可以对攻击者控制的服务器进行溯源。

Botmon产品功能

监控全球多个僵尸网络家族的控制节点

目前已经监测全球流行的数十个DDoS、RAT等木马家族的18000多个僵尸网络历史控制节点，平均每天活跃的僵尸网络控制节点有3000+，每天均可产出大量精准的威胁情报数据。

DDoS攻击预警

由于可以第一时间发现攻击意图，可以对针对重点保卫的网站进行预警，达到洞察攻击者恶意意图的效果。使预防工作可以快速调配资源，应对攻击，察攻击于一瞬。

DDoS攻击溯源

可以查询DDoS攻击目标关联的黑客，掌握其命令与控制服务器（C&C）的IP或域名信息。传统的DDoS防护设备在遭受到DDoS攻击时，仅仅可以记录攻击包发出的设备信息，通常这些设备是NTP、DNS等合法服务器的IP，部分是肉鸡IP，这种情况导致追溯控制服务器非常困难，而本方案采用僵尸网络监测可以准确的将攻击者的控制节点与受害者IP进行精准关联，为攻击溯源提供了准确的线索。

活性僵尸网络样本及时捕获

系统可以捕获黑客最新活性样本。通过部署全球的蜜网，来感知采用最新漏洞攻击手段的DDoS样本，捕获的最新木马也为我们及时监测未知的僵尸网络并获取其威胁情报提供必要条件。这些最新活跃样本包括Windows、Linux、IoT等多种平台的僵尸网络样本，其中很多最新的木马样本在开放威胁情报平台中未能收录。

产品优势

威胁情报快速获取

目前实现僵尸网络样本采集、识别、鉴定、分析、监测流程全自动处理，极大减少从样本采集到监测产出的时间，这也为威胁情报的时效性打下坚实基础，同时也能及时向客户提供有效威胁预警情报，真正体现威胁情报的价值。

威胁情报精准捕获

通过对各个家族样本或者控制节点实行自动化7*24小时的无缝隙监测，实现精准的获取攻击者使用的攻击模式、家族、攻击发生时间、攻击时长、使用的控制节点IP/Domain的精准情报。捕获的威胁情报准确率高达99.6%以上，无需从大批海量的垃圾数据中进行分析挖掘获取威胁情报。

威胁情报覆盖面广

DDoS攻击的监测可以覆盖全球范围内僵尸网络产生的DDoS攻击事件，通过和中国电信云堤的全网DDoS攻击监测进行碰撞，攻击流量较大的事件重合率达到30%。另外僵尸网络监测还可以感知到流量较小的小型攻击事件。

威胁情报可视化

通过对已监测到的威胁情报进行大数据分析处理，获取直观可视化的威胁情报，让客户能在海量威胁情报数据中快速获取自己需要的情报。

溯源快速

无需肉鸡筛选、木马分析，直接查询受攻击目标即可获得攻击的C&C数据，可以根据攻击域名、攻击IP进行关联C&C信息的查询。

威胁情报信息丰富

可以关联攻击者的样本、样本家族、黑客控制设施等信息。

使用简单

用户无需部署，SaaS模式，账号登陆查询即可。
DDoS情报在线平台网址 http://ddos.ithreat.cn

产品应用场景

公安机关等有关部门在接到DDoS攻击的受害者报告时，通过使用受害者的IP/Domain在安天DDoS威胁情报在线平台ddos.ithreat.cn查询，可获取发起DDoS攻击的幕后C&C详细信息，实现对攻击者控制的服务器的快速溯源。

由于具备最新活性的僵尸网络情报数据，产品还可以结合企业防火墙、IDS、SOC等设备，为企业用户提供最新的僵尸网络威胁情报信息，对企业内部的DDoS肉鸡进行发现、拦截，帮助企业减少DDoS肉鸡的流量占用，缓解因DDoS肉鸡产生的网络拥堵现象。